cybersicurezza

Cyberattacchi al sistema finanziario: riflessioni sul documento ‘Cyber resilience in financial market infrastructures’

di Anthony Cecil Wright, presidente dell'ANSSAIF (Associazione Nazionale Specialisti di Sicurezza in Aziende di Intermediazione Finanziaria) |

Gli interventi di sicurezza a livello aziendale devono essere guidati sia dalle policy interne e da una conoscenza precisa dei criteri di rischio dell’organizzazione, sia dalle possibili soluzioni di trattamento del rischio.

Il documento ‘Cyber resilience in financial market infrastructures’ è stato redatto da un gruppo composto dai rappresentanti delle principali banche centrali a livello mondiale; per l’Italia ha partecipato un esponente del “Market and Payment System Oversight Department”.

La motivazione di tale ricerca risiede nel fatto che gli attacchi cibernetici contro il sistema finanziario stanno divenendo sempre più frequenti, più sofisticati e più diffusi. Dato il ruolo critico delle infrastrutture finanziarie ai fini della stabilità, il comitato sul sistema dei pagamenti e delle infrastrutture di mercato (CPMI) ha voluto capire quali sono gli attuali rischi informatici e il livello di preparazione delle infrastrutture a sostenere gli scenari peggiori.

Il documento è piuttosto dettagliato, molto preciso nell’individuare i rischi e le difficoltà nel sostenere un attacco cibernetico e, cosa utile, sintetizza le misure adottate dal sistema finanziario per prevenire, individuare, e riprendere l’operatività dopo un eventuale attacco.

Si ritiene, lasciando al lettore il piacere di consultare il documento (http://www.bis.org/cpmi/publ/d122.pdf), di fare cosa utile nel fornire alcune considerazioni che emergono da una prima lettura del documento in oggetto: ciò ai fini auspicati di aprire un dibattito sul tema fra gli intermediari, anche loro fortemente interessati ad approfondirlo.

Segnaliamo quindi alcuni punti:

  1. si evidenzia che negli ultimi tempi vi è una maggiore attenzione ai rischi di eventi che abbiano un impatto sull’integrità sia del software che dei dati di una infrastruttura: ciò in aggiunta agli attuali massicci attacchi che compromettono la riservatezza dei dati e la disponibilità del sistema;
  2. nel passato la resilienza ai cyber threats era focalizzata sulla prevenzione, mentre ora la  crescente attenzione e gli investimenti sono rivolti a migliorare il monitoraggio, le capacità di individuazione dell’attacco e quelle di ripresa dell’operatività; molte infrastrutture implementano un elevato numero di controlli indirizzati a individuare tempestivamente delle eventuali attività anomale attraverso l’aggregazione e la correlazione di dati da diverse fonti e sensori; non ultimo, mantengono e testano tali processi e procedure al fine di verificarne continuamente l’efficacia;
  3. in considerazione della generale convinzione che vi debba essere un approccio integrato per creare la resilienza agli attacchi informatici, si sottolinea che tale approccio debba essere una parte del core business, e coinvolge tutto il personale dallo staff al senior management;
  4. un ruolo importante ricopre la comunicazione tra i service provider e le terze parti; si deve fare attenzione che a volte viene trascurata l’importanza di ciò ai fini di ridurre i tempi di ripartenza;
  5. il Recovery Time Objective (RTO), fissato in due ore, viene giudicato difficile da mantenere in caso di un attacco cyber estremamente grave, così come la ripartenza entro la giornata di settlement; nel tempo però, dichiarano gli intervistati, si può tendere a questo traguardo;
  6. un tema da non trascurare viene brevemente accennato e riguarda l’analisi forense che deve essere eseguita e che richiede di preservare l’integrità delle evidenze raccolte ed assicurare che possono essere utilizzate efficacemente in una eventuale azione legale; in caso di un attacco grave, alla luce dei tempi rapidi imposti di ripartenza, si può creare il dubbio che effettivamente tale analisi forense possa essere portata avanti nei dovuti modi e si debba eseguire in un successivo momento: ciò genera chiare perplessità.

Riflessioni:

mentre sul punto a) vi è poco da aggiungere, considerate le recenti violazioni di sicurezza avvenute in grandi realtà finanziarie, il punto b) giustamente ricorda anche che una corretta pianificazione delle esercitazioni e dei test sono elemento indispensabile ai fini sia di migliorare i piani, sia per rendere sempre più esperte e pronte all’azione le persone che devono intervenire; una nota a margine: una indagine svolta nel mese scorso dalla ENISA ha evidenziato carenze nella pianificazione ed esecuzione dei test e delle esercitazioni da parte di un buon numero di realtà finanziarie;

nel punto c) viene ricordato che la sicurezza va affrontata bottom up e top down, e che il top management deve dimostrare appieno il proprio sostegno alla crescita e mantenimento della resilienza della organizzazione; anche gli standard internazionali lo richiedono, ma, domandiamoci,  è poi effettivamente così?

in d) si segnala un aspetto spesso trascurato e che riguarda l’intera filiera produttiva, soprattutto per quanto riguarda la comunicazione fra le aziende in caso di disastro ai fini di abbreviare i tempi di ripristino; anche in questo caso, se non vi è stata una adeguata prova dei protocolli di comunicazione, i tempi di individuazione del problema e di ripartenza si allungano enormemente, specialmente se una o più delle terze parti risiedono in un’altra nazione;

Il punto e)  necessita di una puntualizzazione: è chiaro che il tendere a questo ambizioso obiettivo delle 2 ore richiede che tutta la macchina funzioni e, soprattutto, che il personale lavori all’unisono, con tempestività, ma anche con estrema attenzione  ai fini di evitare di aggravare le conseguenze; infatti, le misure preventive, il monitoraggio continuo, l’individuazione dell’attacco, l’intervento di contenimento delle conseguenze, la ripartenza -in caso di interruzione del servizio- in tempi estremamente rapidi ripristinando i sistemi da uno dei punti previsti (checkpoint), richiedono un’ottima operatività ragionata (l’invito degli antichi romani, “festina lente”, è sempre valido!); questa non è connaturata nella mente umana. Onde ottenere efficaci risultati, è necessario che le aziende abbiano un programma di preparazione del personale-a tutti i livelli-che sicuramente si articolerà in più anni, ma che soprattutto veda come docenti e testimoni persone con profonda conoscenza, competenza ed abilità della materia acquisite in tanti anni nella operatività corrente. Ci riferiamo in particolare ai temi della organizzazione, ICT, business continuity, crisis management, ma, soprattutto, con esperienza profonda nel risk management; infatti, gli interventi di sicurezza devono essere guidati sia dalle policy interne e da una conoscenza precisa dei criteri di rischio dell’organizzazione, sia dalle possibili soluzioni di trattamento del rischio. Purtroppo, non poche volte, le aziende hanno subito dei corsi di informazione e formazione puramente teorici, vuoi perché basati sulla sola pura conoscenza delle metodologie, affiancata da scarsa esperienza, vuoi perché avulsi dalla realtà della struttura organizzativa e delle sue strategie di business. Con il risultato che i dipendenti si sono convinti di aver solo perso del tempo.

Il punto f) richiede un momento di riflessione con le parti interessate.

ANSSAIF ha in piano degli incontri nei prossimi mesi su questi temi.

anthony.wright@anssaif.it

Leggi le altre notizie sull’home page di Key4biz